Informationstechnologien sind ein fester Bestandteil in den Geschäftsprozessen der modernen Unternehmenswelt und ermöglichen auf Veränderungen und die Komplexität der Märkte schnell und angemessen zu reagieren. Dadurch kann ein Wettbewerbsvorteil gegenüber den Mitbewerbern generiert werden und das Unternehmen seine Marktposition verteidigen oder sogar ausbauen. Durch diesen Beitrag zur Wertschöpfungskette des Unternehmens werden Informationstechnologien als sogenannte Business Enabler gesehen. Nach Angaben des Statistischen Bundesamtes nutzen 97% aller deutschen Unternehmen mit mehr als 20 Mitarbeitern einen Computer und 93% besitzen einen Internetzugang. Weltweit beliefen sich die Umsätze in der Informations- und Kommunikationstechnologie auf 2.238 Mrd. Euro im Jahr 2008, mit einer jährlichen Steigerungsrate von ca. 6%. Aus diesen Zahlen wird die breite Marktdurchdringung der Informationstechnologien, als auch die Relevanz für die moderne Unternehmenswelt ersichtlich. Die Entwicklung von der reinen Datenverarbeitung hin zu Informationstechnologien und somit zu einem operativen Bereich der Unternehmen eröffnet Chancen, birgt aber auch Risiken. Die Unternehmen sind im zunehmenden Maße abhängig von der Verfügbarkeit, der Integrität und Vertraulichkeit der Systeme bzw. Informationen.
Inhaltsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
Abkürzungsverzeichnis
1 Einführung
1.1 Ausgangslage
1.2 Zielsetzung
1.3 Berührungspunkte
1.4 Aufbau der Arbeit
2 Grundlagen
2.1 Informationstechnologie
2.2 IT-Risiko
2.3 IT-Risikomanagement
3 Rahmenbedingungen des IT-Risikomanagements
3.1 IT-Risikostrategie
3.2 Organisationsmodell des IT-Risikomanagements
3.3 IT-Risikokultur
3.4 Compliance
3.4.1 Unternehmensinterne Compliance
3.4.2 Externe Compliance
3.5 IT-Standards und Best Practices
3.5.1 CobiT
3.5.2 ITIL
3.5.3 BSI – IT-Grundschutz-Kataloge
3.6 Zusammenfassung
4 Operatives IT-Risikomanagement
4.1 Risikoidentifikation
4.1.1 Analytische Ansätze
4.1.1.1 Fehlerbaumanalyse
4.1.1.2 Fehlermöglichkeits- und Einflussanalyse
4.1.1.3 Checklisten
4.1.1.4 Schadensfall-Datenbank
4.1.2 Kreativitätstechniken
4.1.2.1 Brainstorming
4.1.2.2 Delphi-Methode
4.1.2.3 Synektik
4.1.3 Zusammenfassung
4.2 Risikoanalyse
4.2.1 Qualitative Methode
4.2.2 Quantitative Methode
4.2.3 Risikoportfolio
4.2.4 Value at Risk
4.2.5 Zusammenfassung
4.3 Risikosteuerung
4.3.1 Vermeidung
4.3.2 Verminderung
4.3.3 Begrenzung
4.3.4 Transfer
4.3.5 Akzeptanz
4.3.6 Steuerung durch das Risikoportfolio
4.3.7 Wirtschaftlichkeitsbetrachtung
4.3.8 Zusammenfassung
4.4 Risikoüberwachung
4.5 Zusammenfassung
5 Zusammenfassung und Ausblick
Literaturverzeichnis
Internet-Quellen
Abbildungsverzeichnis
Abbildung 1 – Gliederung der Arbeit
Abbildung 2 – Begriffshierarchie Zeichen-Daten-Information
Abbildung 3 – Definition IT-Risiko
Abbildung 4 – IT-Risikomanagement-Prozess
Abbildung 5 – Status IT-Risikomanagement-Umsetzung
Abbildung 6 – Rahmenbedingungen des IT-Risikomanagements
Abbildung 7 – Ebenen und Inhalte einer IT-Risikokultur
Abbildung 8 – Maßnahmen zur Schaffung einer Risikokultur
Abbildung 9 – Grundlegendes Prinzip von CobiT
Abbildung 10 – IT-Risikomanagement Komponenten
Abbildung 11 – ITIL Prozesse
Abbildung 12 – Übersicht der BSI-Publikationen
Abbildung 13 – Integration der Risikoanalyse in den Sicherheitsprozess
Abbildung 14 – Operativer Risikomanagement-Prozess
Abbildung 15 – Risikoportfolio
Abbildung 16 – Maßnahmen zur Risikosteuerung
Abbildung 17 – Risikoportfolio und Steuerungsmaßnahmen
Abbildung 18 – Verhältnis Kosten / Sicherheitsniveau
Tabellenverzeichnis
Tabelle 1 – Risikoneigung bei unternehmerischen Entscheidungen
Tabelle 2 – Exemplarische Zuständigkeiten im IT-Risikomanagement
Tabelle 3 – CobiT Kontrollbereiche für das Risikomanagement
Tabelle 4 – Beurteilung und Management von IT-Risiken
Tabelle 5 – Überblick der Methoden zur Risikoidentifikation
Tabelle 6 – Risiko-Relevanzskala
Tabelle 7 – Zweistufige qualitative Risikobewertung
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1 Einführung
„Die Teilnahme am »Spiel« der Informationstechnologie beinhaltet bei aller Klugheit das Risiko des Verlusts; der Verzicht auf die Teilnahme hingegen wird wohl in absehbarer Zeit den Verzicht auf Erfolg mit sich bringen.“[1]
1.1 Ausgangslage
Informationstechnologien sind ein fester Bestandteil in den Geschäftsprozessen der modernen Unternehmenswelt und ermöglichen auf Veränderungen und die Komplexität der Märkte schnell und angemessen zu reagieren. Dadurch kann ein Wettbewerbsvorteil gegenüber den Mitbewerbern generiert werden und das Unternehmen seine Marktposition verteidigen oder sogar ausbauen. Durch diesen Beitrag zur Wertschöpfungskette des Unternehmens werden Informationstechnologien als sogenannte Business Enabler gesehen[2].
Nach Angaben des Statistischen Bundesamtes nutzen 97% aller deutschen Unternehmen mit mehr als 20 Mitarbeitern einen Computer und 93% besitzen einen Internetzugang[3]. Weltweit beliefen sich die Umsätze in der Informations- und Kommunikationstechnologie auf 2.238 Mrd. Euro im Jahr 2008, mit einer jährlichen Steigerungsrate von ca. 6%[4]. Aus diesen Zahlen wird die breite Marktdurchdringung der Informationstechnologien, als auch die Relevanz für die moderne Unternehmenswelt ersichtlich.
Die Entwicklung von der reinen Datenverarbeitung hin zu Informationstechnologien und somit zu einem operativen Bereich der Unternehmen eröffnet Chancen, birgt aber auch Risiken. Die Unternehmen sind im zunehmenden Maße abhängig von der Verfügbarkeit, der Integrität und Vertraulichkeit der Systeme bzw. Informationen[5].
Diese Gefahren werden zumeist mit Investitionen in technische Sicherheitslösungen und durch den Themenbereich IT-Security, angegangen und betrachtet. Ein ganzheitlicher Ansatz unter Einbeziehung von Wirtschaftlichkeit, Angemessenheit, Sicherheit und Compliance wird erst in der jüngeren Vergangenheit durch die Einführung des IT-Risikomanagements, verfolgt[6]. Dies wurde nötig, da zu der steigenden Komplexität und Abhängigkeit der Prozesse auch gesetzliche Vorgaben (z.B. KonTraG, SOA, Basel II) umgesetzt und eingehalten werden müssen.
Diese Erweiterungen des Aufgabengebietes können von einer herkömmlichen IT-Organisation nicht vollständig bzw. nur unter erheblichem zusätzlichem Aufwand vollständig realisiert werden. Auf der einen Seite besteht ein grundlegendes Problem hinsichtlich des Wissenstandes der IT-Abteilungen im Bereich Risikomanagement. Auf der anderen Seite besitzen die Risikomanagement-Experten nicht das notwendige, tiefgreifende Wissen über die Funktionen der Informations- und Kommunikationssysteme[7].
Als Bindeglied zwischen diesen Funktionen fungiert das IT-Risikomanagement, das sich mit der Gesamtheit der offensichtlichen und verborgenen IT-Risiken auseinandersetzt und diese strukturiert bearbeitet. Es identifiziert, analysiert, steuert und überwacht Risiken, die mit dem Einsatz von Informations- und Kommunikationssystemen verbunden sind, und versucht somit, die möglichen Schadensauswirkungen für die Unternehmung zu begrenzen, wodurch ein hinreichender Investitionsschutz gewährleistet wird.
1.2 Zielsetzung
Im Verlauf dieser Arbeit werden die Voraussetzungen für den Aufbau als auch die Durchführung eines IT-Risikomanagements beschrieben und erarbeitet. Es wird sowohl auf die organisatorische Eingliederung eingegangen als auch Schnittstellen für die Ergänzung bzw. Abdeckung anderer Risikomanagementbereiche betrachtet. Das Ziel dieser Arbeit ist die Darstellung der Funktionen, Aufgaben und Möglichkeiten, die die Einführung eines IT-Risikomanagements in der Unternehmung mit sich bringen. Dabei soll ein ganzheitliches Modell entwickelt werden, das nicht nur den originären Risikoprozess an sich, sondern auch Rahmenbedingungen, Strategien, Best Practices-Ansätze, aber auch weiche Aspekte, wie z.B. die Unternehmens- oder Fehlerkultur, untersucht.
1.3 Berührungspunkte
Innerhalb der Erarbeitung des Modells für das IT-Risikomanagement ergeben sich Berührungspunkte zu anderen Wissenschaftsbereichen. Ein direkter Bezug ist im betrieblichen Risikomanagement zu finden, welches das IT-Risiko innerhalb der operationellen Risiken einordnet. Wie im Verlauf der Arbeit erkennbar wird, kann das betriebliche Risikomanagement eine ganzheitliche Betrachtung der expliziten IT-Risiken mit dessen Mitteln nicht vollständig gewährleisten. Für die Erstellung des strategischen Prozesses ist eine Anlehnung an die betriebswirtschaftlichen Aspekte der Organisation und Unternehmensführung nötig, auf deren Grundlage entsprechende Konzepte empfohlen werden. Mit den Compliance-Anforderungen wird eine Anlehnung an die Rechtswissenschaft genommen und deren Auswirkungen untersucht. Innerhalb des operativen Risikomanagements sind finanzmathematische Methoden aus der Investitions- und Finanzierungslehre die Grundlage für die Berechnung der Risiken. Mit der Untersuchung des IT-Risikos, ergeben sich außerdem Überschneidungen zu den Bereichen der IT-Sicherheit und der Informationstechnologie. Durch den begrenzten Umfang der Arbeit können nicht alle der zuvor beschriebenen Berührungspunkte mit der nötigen Intensität untersucht werden.
1.4 Aufbau der Arbeit
Die Untersuchung gliedert sich in fünf Kapitel, die in folgender Abbildung dargestellt und anschließend kurz beschrieben werden:
Gliederung der Arbeit
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1 – Gliederung der Arbeit
Kapitel 1 führt in die Thematik ein, erläutert die Zielsetzung und stellt die Berührungspunkte zu anderen Forschungsbereichen dar. In Kapitel 2 werden die Grundlagen analysiert und eindeutige Definitionen und Modelle erarbeitet, die als Basis für den weiteren Verlauf der Arbeit gelten. Die Rahmenbedingungen, die auf ein IT-Risikomanagement wirken, werden in Kapitel 3 identifiziert und erläutert. Innerhalb der einzelnen Abschnitte wird ein entsprechendes Modell erarbeitet, das für den Einsatz in der betrieblichen Praxis ausgelegt ist. Im Verlauf von Kapitel 4 werden die operativen Aufgaben innerhalb der Ablauforganisation des IT-Risikomanagements durch den sogenannten Risikozyklus beschrieben. Die einzelnen Abschnitte hierunter stellen die Methoden und Abläufe innerhalb dieses Modells dar. Kapitel 5 fasst die in dieser Arbeit gewonnenen Erkenntnisse zusammen und schließt mit einem Ausblick.
2 Grundlagen
Im Folgenden werden einige, im Rahmen dieser Arbeit verwendeten, grundlegenden Begriffe definiert. Dies ist erforderlich, da im wissenschaftlichen Diskurs hierfür keine einheitlichen Begriffsbestimmungen oder Definitionen existieren.
2.1 Informationstechnologie
Zum Begriff Informationstechnologie (IT) bzw. Informationstechnik[8] finden sich in der Literatur zahlreiche Definitionen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt unter dem Begriff Informationstechnik alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen[9], während das Institut der Wirtschaftsprüfer (IDW) in seiner Stellungnahme zur Rechnungslegung Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), darunter die im Unternehmen, im Rahmen der elektronischen Datenverarbeitung, verwendete Hard- und Software versteht[10]. Daneben wird der Begriff Informationstechnik oft synonym mit Informationsverarbeitung verwendet. Hansen/Neumann beziehen hier alle Aktionen ein, die die Erfassung, Verarbeitung und Speicherung sowie Übertragung oder Transformation von Daten betreffen[11]. Eine umfassendere Auslegung des Begriffs erfolgt durch Rechenberg/Pomberger, die hierunter alle „... Geräte und Systeme, die auf Elementen, Erkenntnissen und Ergebnissen von Technischer, Praktischer und Angewandter Informatik ...“ subsumieren[12].
Im Rahmen der nachfolgenden Ausführungen zum IT-Risikomanagement wird der Begriff Informationstechnologie weit gefasst und sowohl die Hard- als auch die Softwarekomponenten einbezogen, die zur Eingabe (Erfassung), elektronischer Verarbeitung und Ausgabe (Speicherung, Übertragung, Druck) der Daten erforderlich sind.
In diesem Zusammenhang bedarf es ebenfalls einer Klärung des Begriffs der Information. Im allgemeinen Sprachgebrauch werden hierunter zumeist zusammengefasste, aufbereitete Kenntnisse bzw. Wissen verstanden[13]. Dies können Nachrichten, Mitteilungen, Daten oder auch Messwerte sein, die für den Einzelnen einen jeweils divergierenden Wert darstellen. Bei einer differenzierten Betrachtung ist zu erkennen, dass sich die Informationen aus Zeichen und Daten zusammensetzen, Wissen aber einen noch höheren Stellenwert hat[14]. Die Beziehungen zwischen den Begriffshierarchien Zeichen, Daten und Informationen lassen sich an folgendem Beispiel darstellen:
Begriffshierarchie Zeichen-Daten-Information
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Entnommen aus: Krcmar H. (2009), o.S.
Abbildung 2 – Begriffshierarchie Zeichen-Daten-Information
Die einzelnen Zeichen aus dem gesammelten Zeichenvorrat werden durch ein gemeinsames Zeichensystem (Syntax, z.B. Alphabet) zu Daten. Diese werden wiederum mit einem zusätzlichen Kontext versehen und zu einer Information umgewandelt. Im oben dargestellten Beispiel wird deutlich, dass aus den einzelnen Zeichen „0“, „6“ und „4“ durch Zuordnung und Anreicherung mit einem zusätzlichen Kontext, die Information darüber entsteht, dass 1 US-Dollar einen Gegenwert von 0,64 Euro hat[15]. Werden diese Informationen wiederum weiter vernetzt, entsteht Wissen.
2.2 IT-Risiko
In Theorie und Praxis lässt sich keine eindeutige Definition des sich über Jahre entwickelten Begriffs Risiko ausmachen. Dieser findet sich daher in der Literatur in verschiedenen Facetten.
Ursprünglich aus dem frühitalienischen „risicare“ (wagen)[16], gehören zur europäischen Begriffsbildung im Wortfeld des Risikos zusätzlich die Ausdrücke Angst und Abenteuer[17]. Der Duden umschreibt das Wort Risiko als „... möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust, Schäden verbunden sind; mit einem Vorhaben, Unternehmen o.Ä. verbundenes Wagnis“[18].
Woll sieht zusätzlich die Gewinnchance als positive Seite des Risikos. Demnach werden die Risikomaße als Abweichungen vom Erwartungswert (Standardabweichung, Varianz) oder als die Relation der Standardabweichung mit dem Erwartungswert (Variationskoeffizient) gesehen[19]. Diese Definition, als positive oder negative Abweichung einer Größe vom tatsächlichen Ergebnis, wird in der Theorie als zweiseitige Risikodefinition bezeichnet, wohingegen eine ausschließlich negative Abweichung, die mit einem Verlust bzw. Nachteil behaftet ist, als eine einseitige Risikodefinition gesehen wird[20]. Aus dem Wortlaut und dem Sinnzusammenhang sowie der Begründung des Gesetzgebers, folgt auch der Risikobegriff des § 91 Abs. 2 AktG dieser einseitigen negativen Auslegung[21].
Eine einheitliche Definition des Begriffs IT-Risiko findet sich in der Wissenschaft ebenfalls nicht. Krcmar etwa spricht hierbei von einer negativen Einwirkung auf die Unterstützungs- und Enablerfunktion des Informationsmanagements u.a. aufgrund von Informationspathologien, Prozessdisfunktionalitäten oder einer unzureichenden Verfügbarkeit der Informations- und Kommunikationstechnik[22]. Das BSI sieht als Risiken die Bedrohungen in Verbindung mit den Schwachstellen, die beim Einsatz von Informations- und Kommunikationssystemen auftreten und sich negativ auf die Schutzziele auswirken können[23]. Der im Rahmen dieser Arbeit verwendete Begriff des IT-Risikos wird daher wie folgt festgelegt und abgegrenzt:
Ein IT-Risiko definiert sich aus der Gefahr einer Verletzung der Schutzziele durch Bedrohungen, die eine Schwachstelle innerhalb der Informations- und Kommunikationssysteme ausnützen.
Aus dieser einseitigen negativen Risikodefinition folgt, dass es sich bei einem Risiko um eine Gefahr oder einen möglichen Schaden handelt. Der tatsächliche Eintritt des Schadens ist davon abzugrenzen. Das Risiko bzw. der erwartete Schaden berechnet sich aus der Schadenshöhe multipliziert mit der Eintrittswahrscheinlichkeit[24].
Definition IT-Risiko
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3 – Definition IT-Risiko
Aus der Grafik wird ersichtlich, dass permanent eine Vielzahl von Bedrohungen auf die Informations- und Kommunikationssysteme einwirken. Im Wesentlichen finden sich fünf Kategorien von Bedrohungen[25], die sowohl innerhalb des Unternehmens auftreten, aber auch externer Natur sein können[26].
- Höhere Gewalt: Hierunter fallen u.a. durch Elementarereignisse verursachte Bedrohungen wie z.B. Blitz, Feuer, Wasser und Sturm. Weitere externe Bedrohungen können durch Großveranstaltungen (z.B. Demonstrationen) oder auch durch technische Katastrophen im Umfeld des Unternehmens entstehen. Interne Ursachen wie z.B. Personalausfall, Ausfall eines IT-Systems oder unzulässige Temperatur, Staub und Verschmutzung können ebenfalls zu Bedrohungen führen[27].
- Organisatorische Mängel: Diese internen Defizite lassen sich im Wesentlichen als Bedrohungen aus mangelhaft implementierten oder ausgeführten IT-Prozessen erklären, z.B. unzureichende Kontrollen der IT-Sicherheitsmaßnahmen, unbefugte Zutritte zu schutzbedürftigen Räumen, ungeregelte Weitergabe von Datenträgern, fehlende oder unvollständige Dokumentation sowie unzureichende Sensibilisierung für die IT-Sicherheit[28].
- Menschliche Fehlhandlungen: Betrachtet werden innerhalb dieser Kategorie ausschließlich Bedrohungen, die aus unbewussten Handlungen interner als auch externer Personen resultieren. Als Beispiele menschlichen Fehlverhaltens können die fahrlässige Zerstörung von Gerät oder Daten, die Nichtbeachtung von IT-Sicherheitsmaßnahmen oder -vorschriften und die fehlerhafte Nutzung und Administration der IT-Systeme genannt werden[29].
- Technisches Versagen: Diese Kernbedrohung auf die Informations- und Kommunikationssysteme kann sowohl intern als auch extern verursacht sein. Die externen, wie z.B. Stromausfälle oder Leitungsprobleme, stellen hierbei die kleinere Gruppe der Gefährdungen. Wesentlich häufiger treten interne Bedrohungen, wie z.B. der Ausfall vorhandener Sicherheitseinrichtungen, defekte Datenträger, Verlust von Daten einer Datenbank, Bedrohungen aus der Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen oder aus Softwareschwachstellen, auf[30].
- Vorsätzliche Handlungen: Im Gegensatz zu den „fahrlässigen“ Gefährdungen aus menschlichem Fehlverhalten werden unter diesem Punkt die vorsätzlichen
Handlungen interner als auch externer Personen kategorisiert. Zu Beeinträchtigungen bei den Informations- und Kommunikationssysteme können die Manipulation bzw. Zerstörung von IT-Geräten, Zubehör, Informationen oder Software, Diebstahl, Vandalismus, die unzulässige Ermittlung von Sicherheitscodes oder der Missbrauch von Benutzer- als auch Administratorrechten, führen[31].
Angriffspunkte dieser Bedrohungen sind, wie aus Abbildung 3 ersichtlich, die möglichen Schwachstellen im Bereich der Informations- und Kommunikationssysteme, die innerhalb der Komponenten Hardware, Software, Netze und Daten zu finden sind[32]. Pohlmann/Blumberg sehen diese im mangelnden physikalischen Schutz der Systeme, in Implementierungsfehlern und unzureichender Authentifizierung, im mangelnden Sicherheitsbewusstsein, aber auch in einer ungenügenden Ausbildung des IT Personals[33]. Ergänzend führt Eckert unsichere Kommunikationsverbindungen und Softwarefehler an[34], die hauptsächlich von externen Bedrohungen ausgenutzt werden, um Schutzziele zu verletzen.
Als Schutzziel (vgl. Abbildung 3) wird ein erwünschter Zustand sicherer Systeme und Daten verstanden[35]. Dieser lässt sich anhand der drei Grundanforderungen[36] an die Informations- und Kommunikationssysteme wie folgt beschreiben:
- Vertraulichkeit: Dieses Schutzziel ist erfüllt, wenn kein unautorisierter Informationsgewinn aus dem IT-System möglich ist[37]. Die Bewahrung der Informationsvertraulichkeit (Schutz der Nachrichteninhalte vor allen Instanzen außer dem Kommunikationspartner), Unbeobachtbarkeit der Kommunikation (z.B. Beobachtung durch unbeteiligte Dritte) als auch die Wahrung der Anonymität der Kommunikationspartner (Ermittlung der teilnehmenden Partner nicht durch Außenstehende möglich) wird implizit damit verbunden[38].
- Integrität: Durch die Feststellung der Integrität ist gewährleistet, dass die Informations- und Kommunikationssysteme nicht unautorisiert editiert werden können. Dies schließt sowohl die vorsätzliche Manipulation, als auch die versehentliche Veränderung mit ein. Dabei kann es sich auch um technische Probleme, wie z.B. Übertragungsfehler innerhalb des Netzwerkes, handeln[39].
- Verfügbarkeit: Die Verfügbarkeit der Informations- und
Kommunikationssysteme ist sichergestellt, wenn diese in der jeweiligen Funktion zeitlich uneingeschränkt zur Nutzung bereit stehen und folglich der für die Aufrechterhaltung des Geschäftsbetriebs nötigen Bereitschaft entsprechen.[40]
Die Definition des Begriffes IT-Risiko ist somit innerhalb dieser Arbeit festgelegt und wird anhand der oben beschriebenen Kategorien und Modelle verwendet.
2.3 IT-Risikomanagement
Die Bedeutung des Komposita IT-Risikomanagement ist durch die vorhergehenden Definitionen der Begriffe IT bzw. IT-Risiko teilweise erschlossen.
Der Begriff Management stammt ursprünglich vom lateinischen „manus“ (Hand)[41]. Erstmals wurde der Begriff in seiner derzeitigen Verwendung (Leitung, Führung eines Unternehmens) für das „an der Hand führen von Pferden“ in den Reitschulen des 16. Jahrhunderts benutzt.
Zusammengesetzt kann das Risikomanagement frei als „Führen der potenziellen Erwartungsabweichung“ ausgelegt werden[42]. In diesem Kontext wird der Begriff des Risikomanagements als Einführung geeigneter organisatorischer Maßnahmen und Methoden zur Identifizierung, Analyse, Steuerung und Überwachung, der Risiken, die die Unternehmung in ihrer Zielerreichung und ihren Erwartungen bedroht, verstanden[43]. Die Bezeichnung Risikomanagement stammt in seinen Ursprüngen aus den USA und wurde dort in den 60er Jahren von der Versicherungswirtschaft eingeführt. In der Anfangsphase bezog sich das Konzept auf die bestmögliche Anpassung des betrieblichen Versicherungsschutzes d.h. den Umfang des Versicherungsschutzes und die Höhe der zu den zahlenden Prämien zu optimieren[44]. Von daher waren in den Risiken nur Verlustgefahren, aber keine Gewinnschancen beinhaltet.
Die Aufgabenbereiche des Risikomanagements entwickelten sich weiter, sodass auch weitere Unternehmensbereiche abgedeckt wurden, wie z.B. durch das Finanzielle-, Projekt-, Technische-, Strategische- und IT-Risikomanagement[45]. Mit ein Grund hierfür war die steigende Anzahl an Unternehmensinsolvenzen, die in fast 75% aller Fälle durch Managementfehler in diesen Bereichen verursacht wurde[46], und die hieraus resultierenden gesetzlichen Änderungen und Ergänzungen (z.B. KonTraG, Basel II, SOA), die explizit ein derartiges Kontrollsystem fordern.
Nach Wildemann umfasst das Risikomanagement die systematische Identifikation, Analyse, Steuerung und Überwachung von Risiken, die die Existenz eines Unternehmens bedrohen. Das Unternehmen soll mit Hilfe eines funktionierenden Risikomanagementsystems wesentliche Risiken, die den gewünschten Erfolg gefährden, erkennen und bewältigen können. Dafür muss jedoch ein entsprechender management-und mitarbeitergetriebener Prozess – unterstützt und getragen durch die Unternehmensführung - definiert und implementiert werden[47].
Der Baseler Ausschuss für Bankenaufsicht definiert als operationelle Risiken, zu denen die IT-Risiken gerechnet werden, die „... Gefahr von Verlusten, die infolge einer Unzulänglichkeit oder des Versagens von internen Verfahren, Menschen oder Systemen oder infolge externer Ereignisse ...“ entstehen[48].
Bei der Einführung eines IT-Risikomanagements spielen grundsätzlich ökonomische Gründe und die Vorgaben u.a. von Gesetzgebern und Standardsettern eine herausragende Rolle[49]. Als konkrete Ziele können die Konformität mit den gesetzlichen Anforderungen, die frühzeitige Erkennung bestandsgefährdender Entwicklungen, die Antizipation von Plan-Ist-Abweichungen, die Senkung der Risikokosten oder die Verbesserung der Bonität/ des Ratings genannt werden[50]. Dabei betont Mikus die umfassende Komponente von Risikomanagement im Zusammenhang mit Entscheidungen in der Unternehmung. Die Risikoursachen und deren möglicher Einfluss auf die Zielerreichung, sollten bei unternehmerischen Entscheidungen zur Verminderung von Fehlentscheidungen berücksichtigt werden[51].
Nachfolgende Grafik gibt einen Überblick über den in dieser Arbeit verwendeten IT-Risikomanagement-Begriff bzw. -Prozess:
IT-Risikomanagement-Prozess
Abbildung in dieser Leseprobe nicht enthalten
In Anlehnung an: Junginger M. (2005), S. 196 Abbildung 4 – IT-Risikomanagement-Prozess
Der IT-Risikomanagement-Prozess setzt sich innerhalb dieser Arbeit aus den Vorgaben, Einflussfaktoren und Rahmenbedingungen sowie dem operativen IT-Risikomanagement zusammen.
Mit der Risikostrategie legt die Unternehmensführung die Risikoneigung und die absoluten Verlustgrenzen fest. Die Festlegung der Aufbauorganisation führt zu einer Institutionalisierung des IT-Risikomanagements im Unternehmen. Neben der Risikokultur, die das Risikobewusstsein der Mitarbeiter darstellt, bestimmen interne und externe Compliance den Prozess. IT-Standards und Best Practices-Ansätze geben Empfehlungen für die Umsetzung und unterstützen somit die Implementierung.
Innerhalb des operativen IT-Risikomanagements stellt der sogenannte Risikozyklus die Methoden und Abläufe dar, um eine ganzheitliche Identifikation, Analyse, Steuerung und Überwachung der Risikopositionen zu gewährleisten. Eine konkretere Betrachtung der einzelnen Prozess-Bestandteile folgt im weiteren Verlauf dieser Arbeit.
Folgendes Umfrageergebnis bestätigt die Aktualität der Erörterung des IT-Risikomanagement-Prozesses:
Status IT-Risikomanagement-Umsetzung
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Entnommen aus: IT Governance Institute (ITGI) (2008), S. 47
Abbildung 5 – Status IT-Risikomanagement-Umsetzung
Die internationale, branchenübergreifende Umfrage des IT Governance Institute in Zusammenarbeit mit der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers, spiegelt den Stand der Implementierung des IT-Risikomanagements innerhalb der unterschiedlichsten Unternehmensgrößen wider. Demnach beschäftigen sich über 80% der befragten IT-Verantwortlichen mit diesem Thema und nur 16% sehen keinen Bedarf für die Einführung eines IT-Risikomanagements[52].
3 Rahmenbedingungen des IT-Risikomanagements
Innerhalb dieses Kapitels werden die Rahmenbedingungen und Vorgehensweisen für den Aufbau eines IT-Risikomanagements vorgestellt.
Rahmenbedingungen des IT-Risikomanagements
Abbildung in dieser Leseprobe nicht enthalten
In Anlehnung an: Junginger M. (2005), S. 196
Abbildung 6 – Rahmenbedingungen des IT-Risikomanagements
Im Einzelnen setzen sich diese aus der IT-Risikostrategie, dem organisatorischen Aufbau, der Risikokultur, der internen und externen Compliance, sowie einer Auswahl an bestehenden IT-Standards und Best Practices zusammen. Diese Aspekte stellen die Voraussetzung für den Betrieb eines funktionierenden, operativen IT-Risikomanagements dar, dass in Kapitel 4 beschrieben wird.
3.1 IT-Risikostrategie
Zu Beginn des IT-Risikomanagement-Prozesses wird die IT-Risikostrategie des Unternehmens festgelegt. Angelehnt an die Vorgaben des betrieblichen Risikomanagements, bildet diese die Rahmenbedingungen für das weitere Vorgehen. Die Risikostrategie gibt Aufschluss über die gewünschte oder erwartete Risikoneigung des Unternehmens, die sich an den Unternehmenszielen ausrichtet. Diese gliedern sich
in den Shareholder- und Stakeholder-Ansatz[53] und sind u.a. bestimmt von der Unternehmensform und Vision der Unternehmensleitung. Primär muss das Bestreben des Unternehmens an der Sicherung seiner Existenz ausgerichtet sein[54]. Die damit verbundene Gewinnmaximierung und Senkung der Risikokosten, aber auch Datenschutz oder Schutz des Personals können als korrespondierende Ziele gesehen werden[55]. Die Risikoneigung wird anhand von qualitativen Präferenzen oder quantitativen Werten oder Grenzen gemessen.
In der folgenden Tabelle sind die qualitativen Ausprägungen der Risikoneigung deutscher mittelständischer Unternehmen aufgeführt:
Risikoneigung bei unternehmerischen Entscheidungen
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Entnommen aus: Creditreform (2007), S. 24
Tabelle 1 – Risikoneigung bei unternehmerischen Entscheidungen
Diese fünf Risikopräferenzen geben nach den Erwägungen von Creditreform eine grobe Einordnung vor und zeigen, dass die Mehrheit der deutschen Unternehmen eine risikoneutrale bis risikobereite Tendenz aufweist. Jedoch kann anhand dieser Präferenzen nicht festgestellt werden, welche Kriterien maßgeblich für die Bestimmung dieser Einordnung sind.
Hilfreich ist in dieser Hinsicht die Festlegung eines quantitativen Wertes, der sich aus der monetären Bewertung der aggregierten Risiken definiert und durch die maximal tragfähige Schadenshöhe festgelegt oder beeinflusst wird[56]. Konkret bedeutet dies die maximale Geldsumme, die ein Unternehmen, für einen oder mehrere Schadensfälle aufbringen kann, ohne in dessen Existenz bedroht zu sein. Diese Bewertung gibt den Rahmen für alle weiteren Betrachtungen vor, darf jedoch nicht als statisch angesehen werden. Die Kennzahl wird beeinflusst durch externe und interne Einflussfaktoren, die sich im Laufe der Zeit ändern können, und somit eine regelmäßige Überprüfung der Risikostrategie erforderlich machen. Als mögliche Einflussfaktoren werden die Gewinnstabilität, Geschäftsaussichten, Finanzstruktur oder die Kreditlinien des Unternehmens gesehen[57].
Im Zusammenhang mit der Festlegung einer Risikostrategie gibt die maximal tragfähige Schadenshöhe für den Bereich der IT den Rahmen der Sicherheitsziele vor. Die qualitative Risikoneigung bestimmt die Ausprägung, die von einem reinen Grundschutz bei risikofreudigen, bis hin zu sehr speziellen Sicherheitsverfahren bei risikoaversen Unternehmen führen. Im Allgemeinen werden die Vorgaben der Wirtschaftlichkeit, Angemessenheit und Sicherheit bei der Zielverfolgung untersucht[58]. Eine Sonderstellung der Risikobereitschaft nimmt die Unternehmensstrategie hinsichtlich der Ausprägung des Technologieeinsatzes ein. Hierbei kann ein hohes Maß an Sicherheit in die Zuverlässigkeit der Systeme, für den Anspruch der Technologieführerschaft, erwartet und somit eine risikoscheue Strategie verfolgt werden[59]. Im Vergleich dazu bildet der Einsatz innovativer und nicht ganz ausgereifter Technologien zwar ein hohes Risiko, bietet dem Nutzer aber auch vergleichbar hohe Chancen[60].
Die Risikostrategie wird nach der Festlegung transparent an alle Mitarbeiter und sofern gewünscht oder erforderlich, nach Außen kommuniziert[61]. Aus diesem Manifest werden nachfolgend die Tendenzen der Rahmenbedingungen für die organisatorische Umsetzung und der Risikokultur vorgegeben.
[...]
[1] Pohlmann N., Blumberg H. F. (2006), S. 455.
[2] Vgl. Krcmar (2005), S. 31, S. 317, S. 353.
[3] Vgl. Statistisches Bundesamt (2008), S. 11, 20.
[4] Vgl. BMWI (2008), S. 30.
[5] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 13 f.
[6] Vgl. Junginger M. (2005), S. 179.
[7] Vgl. ISACA (2006), S. 4.
[8] Vgl. Krcmar H. (2005), S. 28.
[9] Vgl. BSIG (2003), § 2 Abs. 1.
[10] Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (2002), Tz 2.
[11] Vgl. Hansen H. R., Neumann G. (2005), S. 8 f.
[12] Vgl. Rechenberg P., Pomberger G. (2006), S. 1147.
[13] Vgl. Brockhaus (2002), o.S.
[14] Vgl. Linde F. (2005), S. 12.
[15] Vgl. Krcmar H. (2005), S. 15.
[16] Vgl. Ehrmann H. (2005), S. 29.
[17] Vgl. Keller H. E. (2004), S. 61 f.
[18] Dudenredaktion (2006), S. 1400.
[19] Vgl. Woll A. (2008), S. 672.
[20] Vgl. Merbecks A., Stegmann U., Frommeyer J. (2004), S. 24.
[21] Vgl. Hüffer U. (2008), § 91 Abs. 2 Rz. 6.
[22] Vgl. Krcmar H. (2005), S. 440.
[23] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 51.
[24] Vgl. Wolke T. (2008), S. 14.
[25] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 329 ff.; Eckert C. (2006), S. 14 f.
[26] Vgl. Hechenblaikner A. (2006), S. 19.
[27] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 329 ff.
[28] Vgl. ebd., S. 347 ff.
[29] Vgl. ebd., S. 530 ff.
[30] Vgl. ebd., S. 646 ff.
[31] Vgl. Bundesamt für Sicherheit in der Informationstechnik (2008a), S. 737 ff.
[32] Vgl. Hechenblaikner A. (2006), S. 18.
[33] Vgl. Pohlmann N., Blumberg H. F. (2006), S. 158 f.
[34] Vgl. Eckert C. (2006), S. 14.
[35] Vgl. ebd. S. 6.
[36] Vgl. Hechenblaikner A. (2006), S. 22 f.
[37] Vgl. Eckert C. (2006), S. 8.
[38] Vgl. Federrath H., Pfitzmann A. (2000), S. 708.
[39] Vgl. Hechenblaikner A. (2006), S. 23; Pohlmann N., Blumberg H. F. (2006), S. 82.
[40] Vgl. Koch R. (2005), S. 117; Pohlmann N., Blumberg H. F. (2006), S. 81.
[41] Vgl. Dudenredaktion (2007), S. 843.
[42] Vgl. Campenhausen v. C. (2006), S. 27.
[43] Vgl. Reichmann T. (2006), S. 625.
[44] Vgl. Mikus B. (2001), S. 10.
[45] Vgl. Exner-Merkelt K. (2008), o.S.
[46] Vgl. Gietl G., Lobinger W. (2006), S. 7.
[47] Vgl. Wildemann H. (2006), S. 28 f.
[48] Baseler Ausschuss für Bankenaufsicht (2004), S. Tz. 644.
[49] Vgl. Junginger M. (2005), S. 109.
[50] Vgl. Ernst & Young (2008), S. 9.
[51] Vgl. Mikus B. (2001), S. 11.
[52] Vgl. IT Governance Institute (ITGI) (2008), S. 47.
[53] Vgl. Hungenberg H. (2004), S. 28 ff.
[54] Vgl. Krcmar H. (2005), S. 444 f.
[55] Vgl. Romeike F., Finke R. (2003), S. 151.
[56] Vgl. Junginger M. (2005), S. 202.
[57] Vgl. Campenhausen v. C. (2006), S. 33 f.
[58] Vgl. Junginger M. (2005), S. 179.
[59] Vgl. Wiedemann J. (2008), S. 242.
[60] Vgl. Krcmar H. (2005), S. 218.
[61] Vgl. Seibold H. (2006), S. 139.
- Quote paper
- Oliver Wagner (Author), 2009, Roadmap zur Implementierung und Realisierung eines IT Risikomanagements, Munich, GRIN Verlag, https://www.grin.com/document/134571
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.